OpenSSL拒绝服务漏洞CVE-2020-1971修复方案

今天登录服务器控制台，收到了一条漏洞提示：

OpenSSL 拒绝服务漏洞(CVE-2020-1971)，强迫症表示完全受不了自己的主机有这么大一个漏洞，感觉上网搜索修复方案。这是一个前几天才爆出来的漏洞，虽然网上的信息较少，但还是找到了解决方法。

修复方法

将 OpenSSL 升级到 1.1.1i

首先通过ssh连接上服务器，使用一下代码查看一下现在的openssl版本：

openssl version

是很老的版本了，升级势在必行。

下载OpenSSL

进入到用户的/usr/local/src目录使用下面的命令下载OpenSSL1.1.1i的安装包:

sudo wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1i.tar.gz

下载速度偏慢，需要耐心等待一会儿。如下：

解压

进入到src目录使用tar -zxvf命令进行解压，如下：

编译安装

此时，进入到解压过后的文件目录，使用下面的命令进行编译安装。

注意：此时需要把用户切换到root来执行，我试过用sudo来执行，会报权限错误

./config --prefix=/usr/loca/openssl

完了过后再使用下面的命令编译安装：

make && make install

此过程稍长，请耐心等待。如果没有任何的报错，就可以把安装的最新版本的openssl替换掉系统现有的版本。

替换

先备份一下老的openssl:

mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/lib64/openssl /usr/lib64/openssl.old
mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old

然后创建软链指向我们新安装的openssl：

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v 

检验

最后再查看一下openssl的版本是不是最新版本：

回到服务器控制台漏洞检测中心，重新检测一下漏洞，警告提示就消失了：

为了你的主机安全，赶紧行动起来吧。